安全态势感知大数据分析系统

亚信安全安全态势感知大数据分析系统
亚信安全安全态势感知大数据分析系统
大数据分析平台
威胁情报共享平台
数据中心安全
边界安全
高级威胁监控 平台
终端安全
云计算安全
服务器安全
下一代安全网 关Deep Edge
高级威胁发现 下一代终端安 下一代智能终
系统TDA
全防护
端安全防护
安全服务
安全态势感知大数据分析系统需要哪些能力？
Hale Waihona Puke Baidu
洞察未知 追本溯源 还原真相
洞察未知
通过机器学习发现异常行为 异常行为分析技术通过对流经
设备的流量进行连续、实时监控来 分析流量信息，利用统计分析、关 联分析和机器学习等多种技术手段 来检测流量和用户或应用行为中的 异常模式，以发现异常行为。异常 可以与同类对象做比较而得出，也 可以与历史数据做比较而得出。
• 采用Spark Streaming流式处理，日 志实时采集、入库、分析、告警;
• 从日志采集到分析取证和告警在1分钟 内完成;
还原真实
可视化呈现
关联分析 可视化
安全攻击 可视化
风险可视化
根据可视化的
病毒呈现 可视化
全局
全局安全状态 统一显示
全局可视化
态势感知威胁动态攻击图
人读 简单 非实时 孤立
大大提升了各种安全设备和网络的存储容量。
找到数据与数据之前的关联性，并进行快速分析， 还原出问题的真相，最终实现数据的“增值”；
对于我局整体的安全状况更加了解，同时发现一些 安全设备在配置规则上的薄弱环节加以改善
图中一个点通过若干中间点到达另 外一个点的路径代表关联链。所以 能挖掘出深层次的关联关系。
可以很清晰地展现网络流量的路径 及分配情况。通过对五元组的流量 收集分析，展现某些服务或设备之 间双向流量的状态和占比，进一步 可根据历史流量的变化，分析出可 能存在的异常流量。
部署前后对比
部署前状态
在安全设备与网络设备方面。对于数据的存储和分 析能力得到很大的提升，以往的技术1秒最多存储 2000条日志，无法满足我局每天几亿条日志的存储 要求； 由于数据的存储限制，对各种安全设备和网络设备 难以进行统一的检测、展现，许多珍贵的信息数据 被删除；
• 完成现有安全监控体系进行云化改造。 • 实现安全事件追踪溯源和风险预警等
分析功能。
数据大集中
虚拟化
云数据
移动、终端设备
云基础设施
云终端设备
部署效果
实时攻击态势地图 网络攻击实时展示
网络流量的chord网络和旋图
病毒云图
流量异常分析展示
病毒爆发的各种关联分析展示
实现发现来自不同地图上的各源IP对 目的IP的攻击态势，线路。
从安全运维中心到安全智能中心
• 从少量单一数据向海量丰富大数据的转变； • 从基于规则匹配向数据建模，机器学习智能
化的转变； • 从短时间状态监控向长周期趋势变化及动态
基线转变； • 从单一安全事件监控向整体安全态势感知的
转变； • 从依靠自身安全能力为向威胁情报共享，风
险预测的转变；
洛克希德･马丁公司，2015.9
自动关联异常行为上下文 自动关联分析可提供异常行为
事件关联、上下文关联、攻击场 景关联、位置关联、身份关联、 角色关联等等。关联分析还有脆 弱性信息关联、因果关联、推理 关联等等。
追本溯源
高性能，大容量，多数据源
实时日志分析告警
• 支持非结构化，半结构化，结构化数据； • 大于50000EPS处理能力; • 大于500TB历史日志全量存储分析能力; • 可灵活线性扩展，保护现有投资;
造成各设备的独立性，无法最大程度的利用数据并 找出数据与数据之前的关联性；
之前的安全管理方式还是被动式、孤岛式的，一是 不能准确了解各种安全设备的配置是否合理；
不能应对现有安全设备发现不了的未知威胁。
部署后效果
在安全设备与网络设备方面。对于数据的存储和分 析能力得到很大的提升，现在可以达到1秒存储 30000条，性能提高了十几倍，实现了安全数据的 全量存储，并通过对全量数据的专业化处理；
成功案例：天津滨海公安安全态势感知系统
• 安全架构日趋复杂、新型技术不断涌现：不但有传统物理服务器、网 络设备和安全设备，也有虚拟机和虚拟设备；不仅有C/S, B/S架构传 统应用，也有IaaS，SaaS等新型服务。
• 安全数据快速增长，数据快速处理能力不足：每台物理设备每天生成 5万至50万条安全事件，全网带宽也从百兆提升至千兆，每年需处理 的安全数据在10TB数量级，而现有安防系统的处理能力仍停留在1TB 数量级，快速提取有价值的数据进行分析。
—：你不能保护你不知道的（传统依靠特征码匹配的方式已经不足以应对未知威胁）。 二：通过异常行为分析来侦测未知威胁已经是业界共识。 三：“异常行为”蕴藏在各种数据源的海量数据之中，大数据技术是必要的支撑手段。
2012年3月，Gartner发表了一份题为 《Information Security Is Becoming a Big Data Analytics Problem》的报告，表示信息安全问题 正在变成一个大数据分析问题，大规模的安全数据 需要被有效地关联、分析和挖掘。
• 安全处理能力分散，未能形成整合优势：现有安全处理方式仍然按照 防火墙、病毒防范、行为审计等独立事件进行处理，未能整合安全事 件之间的相互关系、行为关联来产生总体安全态势，缺乏科学决策提 供依据。
解决方案
• 整合传统安全、云安全和大数据安全， 构建新型安防管控综合平台基础架构。
• 实现全网安全基础信息采集子系统和 存储子系统。
机读 丰富 实时 共享
安全态势感知大数据分析系统的优势与价值
亚信安全态势感知大数据分析系统
安全 预警
态势 感知
调查 取证
合规 报表
亚信安全威胁情报中心
数据中心海量数据（100TB+）集中管理和实时运维分析； 实时安全及异常行为检测（安全建模）； 配合人员和流程构建安全智能中心； 业务风险反欺诈分析能力；
数据驱动安全
安全态势感知大数据分析系统
安全的挑战在于“看见”
我们需要什么？
•全面、快速、准确的感知过去、现在、未来的安 全威胁。! • 帮助自己第一次「看清楚」自己
数据驱动安全
通过
海量数据的收集、分析与展现，
帮助
企业获得更好的全局可见性和安全智能，
从而
抵御新型安全威胁和内部人员监守自盗。
信息安全为什么需要大数据？